CVE-2023-28756: Time における ReDoS 脆弱性について
Posted by hsbt on 30 Mar 2023
Translated by ytjmt
ReDoS 脆弱性のセキュリティ修正を含む、time gem 0.1.1、0.2.2 をリリースしました。 この脆弱性は、CVE-2023-28756 として登録されています。
詳細
特定の文字を含む無効な文字列を Time のパーサーが誤って取り扱っていました。これにより、文字列を Time オブジェクトにパースする際の実行時間の増加を引き起こしていました。
ReDoS の問題は Time gem の 0.1.0、0.2.1 と Ruby 2.7.7 の Time ライブラリに見つかりました。
推奨する対応
time gem を 0.2.2 以降にアップデートすることを推奨します。古い系列の Ruby で同梱されているバージョンとの互換性を確保するためには、以下のようにアップデートできます:
- Ruby 3.0:
timeを 0.1.1 にアップデート - Ruby 3.1/3.2:
timeを 0.2.2 にアップデート
gem update time でアップデートできます。もし bundler を使っている場合は、Gemfile に gem "time", ">= 0.2.2" を追加してください。
残念ながら、time gem は Ruby 3.0 以降でしか動作しません。もし Ruby 2.7 を使っている場合は、最新のバージョンの Ruby を利用してください。
影響を受けるバージョン
- Ruby 2.7.7 以前
- time gem 0.1.0
- time gem 0.2.1
クレジット
この脆弱性情報は、ooooooo_q 氏によって報告されました。
更新履歴
- 2023-03-30 20:00:00 (JST) 初版
最近のニュース
Ruby 4.0.2 リリース
Ruby 4.0.2 がリリースされました。
Posted by k0kubun on 16 Mar 2026
Ruby 3.4.9 リリース
Ruby 3.4.9 がリリースされました。
Posted by nagachika on 11 Mar 2026
関西Ruby会議09の参加登録が開始されました
日本Rubyの会が後援する、地域Ruby会議(RegionalRubyKaigi)の1つである関西Ruby会議09の参加登録が開始されました。
Posted by Yudai Takada(@ydah) on 3 Mar 2026
Ruby 4.0.0 リリース
Ruby 4.0.0 が公開されました。 Ruby 4.0 には “Ruby Box”、”ZJIT” ほか多数の改善が含まれています。
Posted by naruse on 25 Dec 2025